Rentendatenleck der südafrikanischen Regierung befürchtet, dass es zu einer Untersuchung kommt

Beamte der südafrikanischen Regierung gehen Berichten nach, denen zufolge eine Ransomware-Bande 668 GB vertrauliche Daten gestohlen und dann online veröffentlicht hat nationale Rentendaten.

Die angebliche Kompromittierung der Daten der Government Pensions Administration Agency (GPAA) am 11. März wurde noch nicht öffentlich bestätigt, der Vorfall ist jedoch bereits bekannt nationale Nachrichten in Südafrika. Der South African Government Employees Pension Fund (GEPF) schaltete sich ein, um die Behauptungen der berüchtigten LockBit-Cyberkriminalitätsbande zu untersuchen.

GEPF ist einer der führenden Pensionsfonds in Südafrika, zu dessen Kunden 1.2 Millionen derzeitige Regierungsangestellte sowie 473,000 Rentner und andere Leistungsempfänger gehören.

„Die GEPF arbeitet mit der GPAA und ihrer Aufsichtsbehörde, dem National Treasury, zusammen, um den Wahrheitsgehalt und die Auswirkungen des gemeldeten Datenschutzverstoßes festzustellen, und wird zu gegebener Zeit ein weiteres Update bereitstellen“, erklärte der Pensionsfonds in einer öffentlichen Erklärung.

Nicht richtig gesichert?

Berichten zufolge versicherte die GPAA der GEPF, dass sie während der laufenden Untersuchung des Verstoßes Maßnahmen zur Sicherung der Systeme ergriffen habe. Vorläufige Untersuchungen deuten jedoch darauf hin, dass die LockBit-Behauptungen möglicherweise mit einem zusammenhängen Sicherheitsvorfall, den die GPAA erlebte im Februar.

Die Behörde behauptete, ein Versuch, am 16. Februar in ihre Systeme einzudringen, sei erfolglos gewesen, diese Behauptung geriet jedoch nach dem angeblichen LockBit-Leck in die Kritik. Die GPAA teilte am 21. Februar in einem öffentlichen Beitrag mit, dass sie als Reaktion auf einen Versuch, sich „unberechtigten Zugriff auf GEPF-Systeme zu verschaffen“, Systeme heruntergefahren und die potenziell betroffenen Systeme isoliert habe.

Die Behörde sagte, ihr Verwaltungssystem sei nicht verletzt worden.

„Es sieht so aus, als ob die richtigen Schritte unternommen wurden, um die Datensicherheit nach dem Vorfall durch die Sicherung der kompromittierten Server zu gewährleisten“, sagt Matt Aldridge, leitender Lösungsberater bei OpenText Cybersecurity. „Der Vorfall wirft jedoch Bedenken hinsichtlich der allgemeinen Sicherheitslage und Belastbarkeit der Systeme der Organisation auf.“

Nachwirkungen der Operation Cronos

Der offensichtliche Angriff gegen die GPAA erfolgt nur wenige Wochen nach dem Abschaffung der Operation Cronos, eine von den Strafverfolgungsbehörden geleitete Aktion, um den Betrieb von LockBit und seinen Ransomware-as-a-Service-Partnern zu stören.

LockBit und seine Partner haben durch diese Aktion einen Rückschlag erlitten, haben jedoch seitdem ihre Angriffe mit neuen Verschlüsselungsgeräten und einer neu aufgebauten Infrastruktur, einschließlich a, wieder aufgenommen Neue Leckstelle.

Amir Sadon, Forschungsdirektor bei Sygnia, einem Beratungsunternehmen für die Reaktion auf Vorfälle, sagt, LockBit habe außerdem eine neue Website für Datenlecks eingerichtet und rekrutiere „erfahrene Penetrationstester“.

„Die schnelle Anpassung von LockBit unterstreicht die Herausforderungen, Cyber-Bedrohungen dauerhaft zu neutralisieren, insbesondere solche mit ausgefeilten betrieblichen und organisatorischen Fähigkeiten“, stellt er fest.

Andere Experten warnen davor, dass das Datenleck von GPAA auf einen Angriff zurückzuführen sein könnte, der tatsächlich vor der Abschaltung der Operation Cronos am 19. Februar erfolgte. Daher wäre es voreilig, daraus zu schließen, dass LockBit bereits wieder voll einsatzbereit ist.

„Die Government Pensions Administration Agency (GPAA) hat am 16. Februar einen versuchten Einbruch gemeldet – noch vor der Ankündigung der Abschaltung“, sagt James Wilson, Cyber-Bedrohungsanalytiker bei ReliaQuest. „Es ist daher plausibel, dass LockBit einen alten Angriff als Grundlage für diese Behauptung verwendet, um den Eindruck zu erwecken, dass sie ihre Bedrohungskapazität aufrechterhalten haben.“

LockBit ist die produktivste Ransomware-Gruppe weltweit und die mit Abstand aktivste Ransomware-Bande in Südafrika. Laut einer mit Dark Reading geteilten Studie von Malwarebytes ist sie für 42 % der dortigen Angriffe in den letzten 12 Monaten verantwortlich.

Ransomware-Gruppen wie LockBit versuchen, eine Marke aufzubauen, um Partner anzulocken und sicherzustellen, dass die Opfer zahlen. „Seit der Operation Cronos wird LockBit hart daran gearbeitet haben, das Vertrauen der Partner wiederzugewinnen, daher wird das Leck als Beweis dafür genutzt, dass sie ‚Business as Usual‘ weiterführen“, sagt Tim West, Direktor von Threat Intelligenz und Öffentlichkeitsarbeit bei WithSecure.

Ransomware-Akteure wie die hinter LockBit nutzen hauptsächlich zwei Techniken, um Unternehmen zu infiltrieren: die Ausnutzung legitimer Konten und die gezielte Ausnutzung von Schwachstellen in öffentlich zugänglichen Anwendungen.

Sie stehlen in der Regel Kopien der Daten eines Opfers, bevor sie diese verschlüsseln, um bei Lösegeldverhandlungen zwei Möglichkeiten zu nutzen. Dann verlangen sie eine Gegenleistung für die Daten und drohen mit der Veröffentlichung der Informationen über Leak-Sites, wenn kein Lösegeld gezahlt wird.

Verhindern von Ransomware-Angriffen

Die Einführung proaktiver Verteidigungsstrategien ist für die Abwehr der wachsenden Bedrohung durch Ransomware-Angriffe von entscheidender Bedeutung. Beispielsweise fügt die Hinzufügung der Multifaktor-Authentifizierung (MFA) einen zusätzlichen Verifizierungsschritt hinzu, was die Bemühungen von Angreifern, kompromittierte Konten oder Schwachstellen auszunutzen, erschwert.

Aktuelle Backups, die regelmäßig getestet werden, Endpoint-Schutz und Bedrohungserkennungsfunktionen schützen Systeme vor einem Ransomware-Angriff. Und die Verwaltung von Schwachstellen und die Eindämmung ihrer potenziellen Auswirkungen, bevor sie gepatcht werden können, stärkt die Systeme auch gegen Ransomware.

Christiaan Beek, Senior Director of Threat Analytics bei Rapid7, sagt: „Die Überwachung von Firewalls und VPNs ist von entscheidender Bedeutung, da sie attraktive Einstiegspunkte für unbefugten Zugriff darstellen.“

Beek fügt hinzu, dass auch die Verwaltungs- und Verwaltungsschnittstellen öffentlich zugänglicher Anwendungen gesichert werden müssen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe